CVE-2023-27603

CRÍTIC: (9,8)

CVSS3: 8,5

Apache Linkis podria permetre a un atacant remot travessar directoris al sistema. Això seria causat per la validació incorrecta de la ruta de l’arxiu comprimit pel mòdul del Gestor de Càrrega de material engineConn. Un atacant podria utilitzar un arxiu comprimit especialment dissenyat que contingui seqüències “dot dot” (/../) per executar codi arbitrari al sistema.

Sistemes Afectats

• Apache Linkis 1.3.1

Remediació
Actualitzeu a l’última versió d’Apache Linkis (1.3.2 o posterior), disponible al lloc web d’Apache. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://lists.apache.org/thread/6n1vlvnyn441rm02zdqc0wnpckj8ltn8
• https://linkis.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27603